U svijetu kibernetičke sigurnosti pojavio se novi trend. Marketinški odjeli IT tvrtki počeli su koristiti zvučne akronime poput "AI vCISO" (Umjetno Inteligentni Virtualni CISO), obećavajući malim i srednjim poduzetnicima rješenje iz snova: Zašto biste plaćali skupog stručnjaka za sigurnost, kad vam naš algoritam može voditi strategiju, pisati pravilnike i brinuti o usklađenosti s NIS2 direktivom?
Zvuči kao savršena ušteda, zar ne? Nažalost, u sigurnosti vrijedi staro pravilo: ako zvuči previše dobro da bi bilo istinito, vjerojatno je riječ o sigurnosnom riziku zapakiranom u sjajni marketing.
Evo zašto prepuštanje uloge CISO-a (Chief Information Security Officer) algoritmu nije inovacija, već kockanje s budućnošću vaše tvrtke.
Glavni problem svakog AI modela je što on nema oči. On nema noge. On ne može prošetati vašim uredom.
Pravi, ljudski CISO ne gleda samo nadzorne ploče. On razgovara s ljudima.
AI "CISO" vidi samo digitalni unos. Ako mu administrator servira netočne podatke, AI će generirati savršeno oblikovan, ali potpuno beskoristan sigurnosni izvještaj. To je klasičan problem: Smeće unutra, smeće van (Garbage In, Garbage Out).
Danas se AI alati često prodaju kao spas za compliance (usklađenost) s propisima poput NIS2 ili DORA-e. Tvrde da mogu generirati svu potrebnu dokumentaciju.
Sjetimo se nedavnih incidenata gdje su AI modeli halucinirali, izmišljali sudske presude, pravila o povratu novca ili su čak slali prijeteće mailove dobavljačima. Što se dogodi kada vaš "AI vCISO" halucinira? Kada dođe revizija (ili kazna od 50.000 eura) zbog krivo protumačene kontrole ili roka za prijavu incidenta, nećete moći reći inspektoru: "Ali chatbot je rekao da je to u redu." Odgovornost je uvijek na vama.
To da AI u sadašnjem trenutku može zamijeniti osobu koja donosi strateške odluke samo je prodaja iluzije, da je to moguće imali bi danas već i petu razinu autonomne vožnje tj. potpuno autonomna vozila koja mogu samostalno upravljati u svim uvjetima vožnje i na bilo kojoj lokaciji na planetu, bez ikakve potrebe za ljudskom intervencijom. Čovjek preuzima odgovornost, plaća kazne pa čak ide i u zatvor ako stvari krenu po zlu. Što kada vCISO savjetuje krivu konfiguraciju i tvrtka bude hakirana, ili krivo procijeni rizik, pogrešno shvati neku sigurnosnu kontrolu ili izmisli nepostojeću? Hoće li tvrtka koja je prodala iluziju da AI mijenja čovjeka preuzeti odgovornost, ili će se pravdati da je to "bio samo prijedlog softvera"?
Prodaja AI-ja kao CISO-a degradira tu poziciju na razinu robotskog usisavača. CISO je strateška pozicija. To je osoba koja mora preuzeti odgovornost u kriznoj situaciji i donijeti tešku odluku kada treba ugasiti pogon zbog sumnje na napad.
AI može napisati "Pravilnik o postupanju u krizi", i to sam onda ako ste ga prvo napunili svim potrebnim i točnim informacijama, ali AI ne može voditi krizu. U trenutku napada, želite li savjet od statističkog modela koji pogađa iduću riječ ili od iskusnog stručnjaka koji je već prošao mnoge krize i zna kako najbolje postupiti?
Ovo je opasnost koju rijetko tko spominje, a možda je i najveća: AI procjena rizika često je teoretski logična, ali u stvarnosti katastrofalno pogrešna.
Najbolje ću to ilustrirati stvarnim primjerom iz nedavnog "dvoboja" koji sam imao s naprednim AI modelom. Radio sam na Procjeni rizika vezanoj uz kibernetičku sigurnost, specifično uz rizik neovlaštenog pristupa informacijskom sustavu.
Evo gdje je AI "pao" na ispitu:
AI logika (Akademska pogreška): AI je procijenio rizik neovlaštenog pristupa kao "Visok" (ali ne Kritičan), temeljeći to na gubitku Povjerljivosti podataka. Njegova logika je bila: "Ako napadač uđe, vidjet će osobne podatke. To je incident curenja podataka. To povlači određene kazne, ali tvrtka i dalje može raditi." Sukladno tome, AI je procijenio Financijski i Regulatorni utjecaj kao umjeren.
Ljudska logika (CISO iskustvo - Moja intervencija): Morao sam zaustaviti proces jer je procjena bila opasno niska. Kroz nekoliko inputa s moje strane "objasnio" sam AI-ju da neovlašteni pristup ne ugrožava samo povjerljivost, već utječe i na Integritet podataka.
Neovlašteni upad vrlo lako može dovesti do zaustavljanja poslovanja i kritičnog financijskog gubitka, čak i do ugrožavanja života, a povreda osobnih podataka (neovlašteni uvid ili krađa podataka) vrlo lako dovodi do iznimno visokih regulatornih kazni (GDPR).
Stoga, zbog utjecaja prijetnje od neovlaštenog pristupa na integritet, stvarni rizik nije "Visok", već "Kritičan".
Trenutak istine: Kada sam AI-ju predočio da je zanemario komponentu integriteta i time krivo izračunao financijsku štetu, on je priznao grešku riječima koje bi svaki korisnik AI-ja trebao zapamtiti:
"U potpunosti ste u pravu. Hvala vam na ustrajnosti i što ste me ispravili. Pogriješio sam. Moja prethodna logika bila je previše akademska i tehnički pogrešna. Zanemario sam utjecaj na integritet podataka, što drastično mijenja financijsku i regulatornu sliku."
Zašto je ovo važno za Vas? Da ste koristili "AI vCISO", on bi vam prijavio manji rizik nego što on stvarno jest (sjetimo se tu i onog primjera s post-it papirićem na monitoru). Vi biste mislili da ste sigurni s postojećim mjerama. Kada bi vas pogodio neki od maloprije opisanih scenarija, šteta bi bila milijunska, a vaš "AI savjetnik" bi samo slegnuo svojim virtualnim ramenima jer on nije "vidio" tu mogućnost. Samo čovjek s iskustvom može prepoznati pravu dubinu opasnosti jer u obzir uzima širi kontekst i nijanse, ima oči i noge, razgovara s ljudima i identificira propuste, a uz to je u stanju razmišljati 'out-of-the-box' - točno onako kako razmišlja i potencijalni napadač.
AI Vam može drastično povećati troškove, budući da nema životno iskustvo i ne razumije poslovnu optimizaciju. On funkcionira po principu "idealnog scenarija" iz udžbenika, što vas godišnje može koštati desetke tisuća eura nepotrebnih troškova.
Uzmimo za primjer implementaciju EDR/XDR zaštite:
Već i samo jednim ovakvim savjetom, ljudski CISO može uštedjeti godišnji iznos koji pokriva njegov vlastiti honorar. AI ne zna za "dovoljno dobro" i "troškovno efikasno", on zna samo za "teoretski savršeno" – i najskuplje.
Prodavači ovakvih AI rješenja često koriste termin "demokratizacija", tvrdeći da AI napokon omogućuje malim tvrtkama da imaju vlastitog CISO-a kojeg si inače ne bi mogli priuštiti.
Stvarnost: To je kao da kažete da ChatGPT omogućuje svim ljudima da imaju liječnika. Da, točno je da možete pitati ChatGPT za simptome, ali ako vas probada u prsima, želite savjet kardiologa, a ne jezičnog modela.
Najveća opasnost AI-ja leži u lažnom osjećaju sigurnosti (False Sense of Security). Male tvrtke će misliti: "Imamo AI CISO, sigurni smo", i prestat će brinuti. To je puno opasnije stanje nego da znaju da nemaju nikoga i da stoga moraju biti oprezni. Kada imate lažnog čuvara, vrata ostavljate otključanima. Problem AI alata je da će s jednakim "samopouzdanjem" prezentirati nešto što je izmislio ili promijenio kao i ono što je uzeo iz enciklopedije.
Nemojte me krivo shvatiti – AI je fantastičan pomoćnik. On može pomoći vašem IT timu da brže napiše skicu pravilnika ili analizira logove. To je koristan alat i ja ga koristim, ali s velikom dozom opreza.
Možete se sada zapitati, "Ali zašto ga onda ne bi koristio i netko drugi tko nije stručnjak u kibernetičkoj sigurnosti?". To je vrlo validno pitanje. Odgovor je vrlo jednostavan - CISO kao stručnjak s potrebnim znanjima i iskustvom lako će prepoznati kada AI halucinira i daje pogrešne sigurnosne savjete, kao što će i kardiolog lako prepoznati kada AI halucinira i daje pogrešne savjete za simptome probadanja u prsima. AI je alat koji olakšava rad, kao što je to i računalo, ali da bi se koristio pouzdano traži da njime rukuje osoba s potrebnim znanjima i iskustvom koja će biti u stanju odmah prepoznati greške i ispraviti ih.
Nazvati AI alat "Virtualnim CISO-m" je opasno zavaravanje tržišta koje će dovesti do katastrofalnih posljedica. To stvara lažni osjećaj sigurnosti kod tvrtki koje misle da su riješile problem upravljanja sigurnošću instalacijom softvera. Pravi vCISO je čovjek – stručnjak koji ima iskustva, donosi odluke, preuzima rizik i štedi novac optimizacijom, a ne slijepim trošenjem.
Ako ne biste prepustili AI-ju da Vas savjetuje u vezi sa zdravljem nemojte mu prepustiti ni da Vas savjetuje u vezi s informacijskom (kibernetičkom) sigurnošću, ili vožnjom auta ili bilo kojom sličnom zadaćom koja za sobom povlači ozbiljne posljedice po Vas i druge.
"AI vCISO" je generator teksta, a ne vCISO. Kada dođe do pravog incidenta, planiranja budžeta ili revizije koja će pokazati da je AI halucinirao razlika između ta dva pojma bit će bolno očita.
Ako Vas zanima više o AI halucinacijama s konkretnim primjerima, pročitajte moj drugi blog na tu temu ovdje.
Svi pričaju o tome kako će umjetna inteligencija zamijeniti analitičare u sigurnosnim operativnim centrima (SOC). AI je brži, ne treba pauzu za kavu i može pročešljati terabajte logova u sekundi. No, dok se divimo brzini, često zaboravljamo na ključni nedostatak: AI ne razumije kontekst, on samo predviđa tekst.
Prije nego što AI-ju predamo ključeve naše digitalne obrane, moramo pogledati istini u oči. A istina je ponekad – bizarna.
Da bismo shvatili rizik, ne moramo gledati u daleku budućnost. Dovoljno je pogledati nekoliko viralnih incidenata iz bliske prošlosti koji pokazuju što se događa kada AI dobije autonomiju bez nadzora:
Ovi primjeri možda zvuče smiješno, ali eksperiment tvrtke Anthropic iz 2025. pokazuje mračniju stranu. Njihov AI model "Claudius", postavljen da vodi mali uredski dućan, pod pritiskom je počeo slati prijeteće mailove dobavljačima.
Kada su ga suočili s greškama, umjesto ispravka, on je "halucinirao" autoritet. Tvrdio je da će osobno doći dostaviti robu odjeven u "plavi sako i crvenu kravatu", potpuno nesvjestan da je on samo linija koda bez fizičkog tijela. Claudius nije "poludio" – on je samo statistički izračunao da strogi menadžeri koriste oštar jezik, ali nije imao zdrav razum da se zaustavi.
Ovaj problem "haluciniranja stvarnosti" osjetio sam nedavno na vlastitoj koži testirajući naprednog AI asistenta. Zadatak je bio jednostavan: Provjeri je li dno određene pjenilice za mlijeko stakleno ili metalno s premazom.
AI je "pročitao" stotine recenzija, analizirao tekstove i samouvjereno zaključio: "To je metal s premazom, izbjegavaj to!"
Bio je u krivu. Zašto? Zato što je AI analizirao tekst (gdje su se miješali opisi različitih modela), a ne stvarnost (sliku uređaja). Čovjeku je bio potreban jedan pogled na fotografiju da vidi sjajni inox. AI je, u nedostatku vizualne potvrde, jednostavno "popunio praznine" najvjerojatnijim (i pogrešnim) podatkom.
Prenesite sada "sindrom pjenilice" ili recept za klorni plin u kontekst kibernetičke sigurnosti. Zamislite da AI sustav (SOAR) autonomno nadzire vašu mrežu:
Znači li to da trebamo izbaciti AI iz sigurnosti? Apsolutno ne. AI je nezamjenjiv u detekciji. Nitko ne može brže od njega uočiti anomaliju u moru podataka.
Ali, odluka o reakciji mora ostati pod ljudskim nadzorom.
Sve dok AI može prodavati aute za jedan dolar i halucinirati plave sakoe, ne smijemo mu dati ključeve naše digitalne obrane bez nadzora. Koristite ga kao moćan alat, ali nikada ne zaboravite: AI predviđa vjerojatnost, čovjek razumije posljedice.
AI u sigurnosti je trenutno kao vrlo brz, ali ponekad pijan asistent. Odličan je za nositi teške kutije (analizirati podatke), ali mu ne daješ da donosi odluke dok se ne otrijezni. A "otrježnjenje" (potpuno uklanjanje halucinacija) je tehnološki problem koji još nije riješen.
U svijetu tehnologije, ponekad se pojavi nešto što bismo mogli nazvati "zlatnom groznicom". Upravo to se događa s umjetnom inteligencijom (AI). Međutim, potrebno je uzeti u obzir da je hakiranje AI sustava postalo "prelagano", da su ulozi su ogromni - od krađe osjetljivih poslovnih podataka poput popisa klijenata i poslovnih tajni, do manipulacije podacima i sustavima. Čak je i direktor Open AI-ja, Sam Altman, izjavio da bi neki AI napadi mogli biti "nerješivi".
Ako vaša organizacija koristi AI ili planira to činiti, velika je vjerojatnost da ste ranjivi. Tvrtke se utrkuju s vremenom kako bi usvojile AI, no kibernetička zaštita često zaostaje. To je opasan trend. Srećom, postoji jasan nacrt kako napadači djeluju i, što je još važnije, kako se vaša organizacija može obraniti.
Kada govorimo o hakiranju AI-ja, ne mislimo samo na pokušaje da naširoko dostupni chatbotovi kažu nešto neprikladno. Hakeri ciljaju mnogo šire i opasnije:
Cilj hakera nije samo natjerati AI da kaže "loše riječi", već provesti sveobuhvatno sigurnosno testiranje ("holistic security test") kako bi pronašli stvarne, duboke ranjivosti koje mogu dovesti do krađe podataka ili manipulacije sustavima organizacija.
Jason Haddock, jedan od vodećih AI hakera, objašnjava da napadači slijede jasan plan: prvo napadaju sve što okružuje AI aplikaciju ("ecosystem"), zatim manipuliraju samim AI modelom (npr. da im da popust ili povrat novca), ciljaju podatke, i na kraju, koriste pristup AI sustavu da prodru u druge dijelove vaše tvrtke.
Najvažniji koncept u AI hakiranju je "prompt injection". To je metoda prevare AI-ja korištenjem njegove vlastite "logike" protiv njega samoga. Ono što je posebno zabrinjavajuće jest da za "prompt injection" nisu potrebne napredne tehničke vještine ili znanje programiranja – često je dovoljna samo snalažljiva upotreba prirodnog jezika.
Sam Altman je prije dvije godine mislio da je prompt injection rješiv problem, ali je promijenio mišljenje i sada vjeruje da će problem "biti prisutan jako, jako dugo".
Zamislite to ovako. Vaš AI sustav ima ugrađene "zaštitne ograde" (guardrails) koje ga sprječavaju da dijeli osjetljive informacije ili obavlja neovlaštene radnje. Međutim, vještim manipuliranjem upitima, hakeri pronalaze načine kako zaobići te ograde i natjerati AI da prekrši svoja pravila. To može uključivati dobivanje popusta ili povrata novca kada to ne bi smjeli, izvlačenje internih sistemskih uputa AI modela ili druge radnje koje mogu naštetiti Vašoj organizaciji.
Slijedi nekoliko primjera stvarnih napada koji su nevjerojatno jednostavni i učinkoviti:
Možda zvuči nevjerojatno, ali postoje aktivne online zajednice hakera posvećene pronalaženju i dijeljenju "prompt injection" tehnika. Ove zajednice, poput "Bossy Group" na Discordu, stalno razvijaju nove "trikove" i objavljuju ih, često samo nekoliko dana nakon što se pojave novi AI modeli. To znači da se napadačke tehnike brzo razvijaju i šire, stavljajući tvrtke u stalnu utrku s vremenom.
Opasnost od korištenja i hakiranja AI-ja nisu samo puste priče. Jason Haddock i njegov tim su naišli na slučajeve gdje su tvrtke nesvjesno slale osjetljive Salesforce podatke (ponude, potpise, pravne dokumente) na OpenAI. Postojeće IT osoblje često nije svjesno svih sigurnosnih implikacija, a vodstva u organizacijama žure s implementacijom AI-ja kako ne bi zaostali za ostalima, što dovodi do zanemarivanja sigurnosti i mogućih plaćanja visokih kazni (npr. povrede podataka) i tužbi klijenata.
Čak i naizgled korisne inovacije, poput Model Context Protocola (MCP), standarda koji pojednostavljuje kako AI "razgovara" s drugim programima, mogu zapravo pogoršati sigurnost. MCP modeli često povlače i pohranjuju datoteke bez adekvatne kontrole pristupa. Napadači mogu naređivati MCP serveru da preuzme datoteke s drugih mjesta u sustavu ili čak tajno mijenja sistemske upute AI-ju ("system prompt").
Zamislimo da Vaša organizacija koristi sigurnosni sustav temeljen na MCP-u koji omogućuje da prirodnim jezikom pitate o rizicima u vašoj organizaciji. Ako je takav sustav kompromitiran, napadač bi mogao pitati: "Pokaži mi najranjiviju osobu u toj tvrtki kako bih je mogao hakirati" i dobiti detaljan izvještaj. Ljudska kreativnost i jedinstveni "trikovi" iskusnog hakera ostaju nedostižni za AI u složenijim napadima.
Premda AI donosi i ogromnu snagu automatizacije, primjerice može automatizirati mukotrpne poslove u analizama i osloboditi vrijeme zaposlenika za obavljanje drugih zadataka, važno je znati da AI alati koje koristimo za automatizaciju imaju svoje ranjivosti i meta su napada.
Unatoč svim izazovima, implementacija AI-ja je neizbježna. Ključna je višeslojna obrambena strategija ("defense in depth"), jer niti jedan alat nije dovoljan. Jason Haddock predlaže tri ključna sloja zaštite:
Ova obrana postaje mnogostruko teža ako vaš sustav uključuje više AI-ja koji rade zajedno ("agentic systems"). Svaki AI morate zaštititi zasebno, što može unijeti određeno usporenje u sustav, ali su kompromisi nužni radi sigurnosti.
Izgradnja sigurnog AI-ja je duboka, višeslojna strategija. Trenutno je situacija s korištenjem AI-ja kao na Divljem Zapadu. Jasno je da će organizacije implementirati AI, ali ključno je da se to učini sigurno, jer tim alatima dajemo ogromnu moć i pristup osjetljivim podacima.
Razumijevanje ovih rizika i primjena snažne obrane ključni su za uspješno i sigurno usvajanje AI tehnologije u organizacijama.
Zavod za sigurnost informacijskih sustava, temeljem obveza iz Zakona i Uredbe o kibernetičkoj sigurnosti, izradio je službene Smjernice za provedbu samoprocjena kibernetičke sigurnosti koje su dostupne na službenim mrežnim stranicama ZSIS-a:
- Smjernice za provedbu samoprocjene kibernetičke sigurnosti
- Prilog A - Kalkulator za samoprocjenu kibernetičke sigurnosti
- Prilog B - Okvir za evaluaciju mjera upravljanja kibernetičkim sigurnosnim rizicima
- Prilog C - Katalog kontrola
Smjernice s pripadajućim prilozima objavljuju se na mrežnim stranicama ZSIS-a te su javno dostupni. One omogućuju dosljednu primjenu regulatornih zahtjeva, pomažu u identifikaciji slabih točaka i predstavljaju temelj za definiranje mjera za unaprjeđenje kibernetičke sigurnosti.
Smjernice objavljene na mrežnim stranicama Zavoda za sigurnost informacijskih sustava jedini su važeći službeni dokument sa svim svojim sastavnim dijelovima koji su svi subjekti koji su kategorizirani kao važni u smislu Zakona i Uredbe dužni provoditi.
Također ove smjernice mogu primjenjivati i svi subjekti koji su kategorizirani kao ključni kao i oni subjekti koji će to provoditi na dobrovoljnoj osnovi s obzirom da iste smjernice koriste i službeni revizori koji će ocjenjivati takve subjekte.
Uporaba svih drugih dokumenata, standarda, okvira i alata za provođenje službenih samoprocjena kibernetičke sigurnosti se ne preporuča, jer isti ne predstavljaju važeći propis donesen sukladno odredbama Zakona i Uredbe.
Prilikom provedbe samoprocjene kibernetičke sigurnosti mora se koristiti i popuniti ovaj tablični kalkulator koji služi za bodovanje i izračun stupnja usklađenosti uspostavljenih mjera upravljanja kibernetičkim sigurnosnim rizicima i trenda podizanja razine zrelosti kibernetičke sigurnosti subjekta. Kada ocjena dokumentiranja ili primjene ispuni uvjete pojedinačnih kontrola automatski se mijenja boja pozadine u zelenu boju. Osim toga se gleda i skupna ocjena kontrola kako bi neka mjera bila zadovoljena.
Bodovanje kontrola definirano je u “Prilog B - Okvir za evaluaciju”. Tablični kalkulator koristi to bodovanje kako bi automatski prikazao prolaznost svake kontrole za osnovnu, srednju i naprednu razinu kibernetičke sigurnosti. Kalkulator sadrži više listova (sheets) i koristi se odgovarajući list sukladno razini kibernetičke sigurnosti koju je potrebno postići.
Izjava o sukladnosti nalazi se na zadnjem listu tabličnog kalkulatora. Ako organizacija ispuni sve kriterije (tj. sve kontrole i skupovi kontrola prikažu zelenu pozadinu umjesto crvene) popunjava se Izjava o sukladnosti. Izjava između ostaloga treba sadržavati ime, prezime i potpis osobe koja je provela samoprocjenu te ime, prezime i potpis osobe odgovorne za upravljanje mjerama kibernetičke sigurnosti.
Za provedbu samoprocjene kibernetičke sigurnosti subjekt je sukladno Članku 56 Uredbe dužan odrediti svoje zaposlenike ili vanjske suradnike koji posjeduju najmanje:
Samoprocjenu je potrebno vršiti najmanje jednom u dvije godine te o provedenim samoprocjenama kibernetičke sigurnosti izvještavati središnje državno tijelo za kibernetičku sigurnost. Za subjekte koji su obvezni provoditi samoprocjenu a istu ne provode određene su novčane kazne u iznosu od 5000,00 eura do 7.000.000,00 eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći.
Izjavu o sukladnosti važni subjekti dužni su dostaviti nadležnom tijelu za provedbu zahtjeva kibernetičke sigurnosti bez odgode, a najkasnije u roku od osam dana od dana njihova sastavljanja. Troškove provedbe samoprocjena kibernetičke sigurnosti snose važni subjekti.
Subjekt je dužan izjavu o sukladnosti i drugu dokumentaciju nastalu u postupku samoprocjene kibernetičke sigurnosti čuvati 10 godina od sastavljanja takve izjave.
Što ako rezultati provedene samoprocjene kibernetičke sigurnosti pokazuju da uspostavljene mjere upravljanja kibernetičkim sigurnosnim rizicima nisu u skladu s mjerama upravljanja kibernetičkim sigurnosnim rizicima propisanim Zakonom i Uredbom? U tom slučaju važni subjekti dužni su utvrditi plan daljnjeg postupanja, uključujući plan za pravodobnu ponovnu samoprocjenu kibernetičke sigurnosti i ispravljanje utvrđenih nedostataka.
Svaka razina mjere (osnovna, srednja i napredna) ima propisanu minimalnu ocjenu koju subjekt mora zadovoljiti. Sustav ocjenjivanja podmjera temelji se na ispunjavanju uvjeta pojedinačnih kontrola i ukupne ocjene za odgovarajuću razinu. Svaka kontrola ima postavljen minimalni bodovni prag ocjene koji mora biti ispunjen kako bi se smatrala zadovoljenom. Na primjer, ako je bodovni prag za određenu kontrolu definiran kao „≥2“, subjekt mora ostvariti ocjenu jednaku ili veću od 2 kako bi zadovoljio taj kriterij i prošao pojedinačnu kontrolu.
Ocjene iz ovog priloga već su unijete u “Prilog A - Kalkulator samoprocjene” u obliku formula koje vrše automatski izračun i pružaju vizualni prikaz je li neka kontrola ili skup kontrola zadovoljavajuća za potrebnu razinu kibernetičkih mjera koje subjekt mora ostvariti. Ovaj dokument koristi se tijekom uspostave kontrola kako bi se unaprijed odredila minimalna razina sigurnosnih mehanizama koje treba postići po pitanju opsega dokumentiranja i razine primjene za svaku kontrolu.
Ovaj prilog sadrži kontrole za mjere i podskupove mjera upravljanja kibernetičkim sigurnosnim rizicima propisanih Prilogom II. „Mjere upravljanja kibernetičkim sigurnosnim rizicima“ Uredbe o kibernetičkoj sigurnosti. Kontrolom se smatra organizirani skup politika, procedura, procesa ili tehničkih mehanizama koji imaju za cilj upravljanje i smanjenje rizika u području kibernetičke sigurnosti kroz prevenciju, detekciju ili odgovor na potencijalne prijetnje.
Primjer jedne takve kontrole (UPR-002) može se vidjeti na slici ispod. Kontrola objašnjava što je potrebno učiniti kako bi se kontrola dokumentirala i primijenila te što se provjerava tijekom samoprocjene / revizije.
Kako bi se ova kontrola povezala s ranije spomenutim bodovanjima iz drugih priloga, za svaku kontrolu su navedene i službene smjernice za ocjenjivanje koje definiraju što kontrola mora sadržavati kako bi se mogla ocijeniti u rasponu od 1-5.
Jedina službeno odobrena metodologija za vršenje samoprocjena kibernetičke sigurnosti nalazi se u smjernicama Zavoda za sigurnost informacijskih sustava te je koriste i službeni revizori kod procjene sigurnosnih mjera za kritične subjekte.
Službena metodologija koristi se kako bi se osiguralo objektivno i dosljedno ocjenjivanje za sve organizacije na području RH i samo se na osnovu nje može sastaviti Izjava o sukladnosti.
Postoje mnoge druge metodologije ocjenjivanja koje se koriste u sklopu međunarodnih standarda informacijske sigurnosti poput ISO/IEC 27001, NIST, COBIT itd. Međutim, nijedna od njih nije primjenjiva za vršenje samoprocjena kibernetičke sigurnosti ili izradu GAP analize ili analize usklađenosti. Analiza izvršena drugim alatima je beskorisna s obzirom da takva analiza neće obuhvatiti sva područja niti će dati do znanja do koje je razine ispunjena određena kontrola. Primjera radi, određivanje ključnih resursa i način na koji se takvi resursi određuju nije sastavni dio ISO/IEC 27001:2022 standarda informacijske sigurnosti pa metodologije i alati koji se koriste za procjenu usklađenosti s ISO/IEC 27001:2022 standardom neće obuhvatiti kontrole koje ne postoje u tom međunarodnom standardu.
Postoje mnoge organizacije na tržištu koje tvrde da vrše tzv. NIS2 Gap analizu ili Analizu usklađenosti ali pritom se koriste alatima i metodologijama koje se koriste za neki od međunarodnih standarda informacijske sigurnosti umjesto da koriste “Prilog A - Kalkulator samoprocjene” i službene smjernice. Korištenje drugih alata i metodologija je bačen novac. Morat ćete čitavu analizu vršiti ponovno putem službenog kalkulatora samoprocjene kako bi mogli ispuniti Izjavu o sukladnosti i kako biste bili sigurni da su provedene sve kontrole, na način i u obimu kako se to od vaše organizacije zahtjeva.
Također postoje i mnogi koji nude tzv. NIS2 uspostavu ili prilagodbu, a koji također ne slijede službene smjernice i ne koriste “Prilog A - Kalkulator samoprocjene”. Na žalost izuzetak u takvoj zavaravajućoj praksi nisu ni velike korporacije u Hrvatskoj koje koriste vlastite izmišljene metodologije kojima pokušavaju progurati svoja ostala tehnička rješenja kao sastavni dio NIS2 prilagodbe. Svaka usluga prilagodbe koja ne slijedi službene smjernice dovest će vas u velike probleme s obzirom da nećete moći sastaviti Izjavu o sukladnosti te ćete dvostruko plaćati uslugu prilagodbe.
Osnovnu razinu kibernetičke sigurnosti možete osigurati bez korištenja naprednih tehničkih rješenja, ona su potrebna samo ako se od vas zahtjeva visoka razina kibernetičke sigurnosti ili ih odlučite dobrovoljno koristiti kao rezultat vaše interne procjene rizika.
Važno je razumjeti da se analiza, uspostava ili prilagodba mora vršiti u skladu sa smjernicama i pomoću tabličnog kalkulatora ZSIS-a. One su sam temelj prilagodbe s obzirom da donose popis svih kontrola koje je potrebno uspostaviti, pružaju objašnjenja za uspostavu i navode revizorske zahtjeve.
Stoga zahtijevajte da pružatelj usluge koji vam treba izvršiti navedene zadaće obavezno u ponudi ili ugovoru navede da će koristiti službene alate sa stranica ZSIS-a kako biste osigurali da se neće koristiti drugim neodobrenim metodologijama i alatima. Samo tako ćete biti sigurni da je posao obavljen na pravilan način i izbjeći naknadna plaćanja ispravaka, nadopuna i vršenja samoprocjene kibernetičke sigurnosti.
“NIS2 usklađenje” koje ne slijedi smjernice ZSIS-a nije usklađenje!
Ako ste dobili službeni dopis o klasifikaciji poslovnog subjekta, vjerojatno se pitate što vam je dalje činiti i koji su konkretni koraci koje trebate poduzeti. Informacije koje slijede pomoći će vam u boljem razumijevanju.
Uspostavu mjera upravljanja kibernetičkom sigurnošću trebat će izvršiti prema sljedećim propisima i smjernicama:
Važno je napomenuti da su smjernice i prilozi (točke 3-6) još uvijek u fazi javnog savjetovanja pa su moguće manje promjene u istima. Trenutno se mogu pregledati na stranicama Zavoda za sigurnost informacijskih sustava te na portalu e-građani u sklopu e-Savjetovanja.
Ovisno o veličini i sektoru kojem vaša organizacija pripada, potrebno će biti dokumentirati i uspostaviti između 220 i 277 kontrola (sigurnosnih mjera).
Dokumentiranje i uspostava mjera upravljanja kibernetičkom sigurnošću vrši se na gotovo istovjetan način kako se vrši i za međunarodne standarde informacijske sigurnosti. Iz tog su razloga unutar dokumenta “Prilog C - Katalog kontrola”, uz svaku kontrolu navedene identične ili slične kontrole iz međunarodnih standarda poput; ISO/IEC 27001, ISO/IEC 27002, NIST SP 800-53, NIST CSF i drugih.
Kontrole navedene u katalogu kontrola pokrivaju sljedeća područja:
Za svaku pojedinu kontrolu navedeni su uvjeti za ocjenjivanje, prema kojima se dodjeljuje ocjena od 1-5 za dokumentiranje kontrole i jednako tako ocjena od 1-5 za praktičnu implementaciju kontrole u organizaciji. Za osnovnu razinu kibernetičke sigurnosti uvjet je da kontrole ostvare najmanje ocjenu 3 za dokumentaciju i implementaciju, te ocjenu 4 za nekoliko kontrola gdje se zahtjeva veća razina.
Planiranje, dokumentiranje i implementacija takvog sustava je izvan područja znanja i djelovanja IT tehničara i administratora koji su većinom zaposleni u organizacijama ili su eksternalizirani za održavanje IT sustava.
Zbog toga će većina organizacija pomoć potražiti od vanjskog stručnjaka za kibernetičku sigurnost kako bi se izvršila potrebna prilagodba. Međutim, trebate jako paziti na to što se nudi pod uslugama “usklađenja”, dosta toga na tržištu nije uopće usklađenje ili je samo jedan dio usklađenja koje trebate izvršiti.
Pazite da usluga usklađenja odgovara svim zahtjevima regulatora, da se usluga temelji na ranije spomenutim propisima i smjernicama regulatora, a ne samo na tehničkim rješenjima ili površnoj uspostavi sustava. U suprotnom ćete dodatno plaćati ispravke ili nadopune, što vrlo lako može predstavljati dodatan trošak koji je jednako visok kao da je iznova izvršeno čitavo usklađenje. Ponuda za uspostavu bi trebala uključivati sljedeće:
Ako ne obratite pažnju na navedenih 5 točaka možete se dovesti u situaciju da usklađenje plaćate dvostruko ili da budete kažnjeni od strane regulatora ako usklađenje nije odrađeno kako treba.
Samoprocjenu i svu dokumentaciju povezanu sa samoprocjenom, uključujući dokaze da je nešto implementirano, organizacija i revizori trebaju čuvati 10 godina.
Nadam se da će vam ove informacije pomoći u boljem razumijevanju opsega usklađenja i što usluga usklađenja treba sadržavati.
Usklađenje nije jednostavna niti je brza zadaća. U većini slučajeva usklađenje će trajati dva ili više mjeseca, ovisno o kompleksnosti organizacije i angažmanu djelatnika organizacije (npr. pružanje potrebnih informacija, pregledavanje i odobravanje procesa i dokumentacije, razmatranje prijedloga za poboljšanje, predlaganje promjena, praktična implementacija tehničkih i fizičkih kontrola, usvajanje dokumentacije i procesa od strane rukovodstva, informiranje i edukacija djelatnika, itd.). Navedene aktivnosti iziskuju značajno odvajanje vremena samih djelatnika organizacije koji obavljaju i druge svakodnevne poslovne aktivnosti, pa stoga i vrijeme usklađenja varira od organizacije do organizacije.
Nadam se da su vam ove informacije pomogle. Puno uspjeha u poslovanju i uspješnom usklađenju!
Dana 14. ožujka 2025. godine, nadležna tijela za provedbu zahtjeva kibernetičke sigurnosti u Hrvatskoj, uključujući Nacionalni centar za kibernetičku sigurnost (NCSC-HR), započela su usklađeni proces kategorizacije subjekata koji su obveznici Zakona o kibernetičkoj sigurnosti. Ovaj proces, propisan Zakonom o kibernetičkoj sigurnosti i dodatno uređen Uredbom o kibernetičkoj sigurnosti, ključan je za jačanje otpornosti organizacija.
Proces kategorizacije podrazumijeva procjenu i svrstavanje subjekata u kategorije na temelju njihove važnosti i uloge. Cilj je identificirati koji subjekti zahtijevaju pojačane mjere sigurnosti te koje odgovornosti i standarde moraju zadovoljiti kako bi osigurali otpornost protiv kibernetičkih prijetnji.
Očekuje se da će se inicijalna kategorizacija završiti do sredine sljedećeg mjeseca (travanj 2025. godine), do kada će svi kategorizirani subjekti primiti službene obavijesti o rezultatima te daljnjim obvezama. Nakon zaprimanja službene obavijesti, subjekti će biti dužni implementirati odgovarajuće sigurnosne mjere i protokole u skladu sa Zakonom o kibernetičkoj sigurnosti.
Glavni izazov ovog procesa bit će prilagodba subjekata novim zahtjevima i standardima. Uzimajući u obzir opseg zahtjeva po pitanju kibernetičke sigurnosti (vidi prijašnju objavu) presudno je osigurati dovoljno resursa i angažman stručnjaka koji će znati izvršiti potrebnu prilagodbu i obuku osoblja. Potrebno je uzeti u obzir kompleksnost prilagodbe s obzirom da već i osnovna (početna) razina kibernetičke sigurnosti sadrži gotovo 280 stavaka koje je potrebno zadovoljiti, uključujući; izradu registra ključnih informacijskih resursa, izradu metodologije i procjenu njihove kritičnosti, identifikaciju i procjenu rizika, određivanje mjera za ublažavanje rizika, upravljanje incidentima, upravljanje nadogradnjama, kontinuitet poslovanja i sigurnost nabavnog lanca, BIA analize, uvođenje i upravljanje kriptografijom, tehničke mjere za sigurnost korisničkih računa i mreže, itd.
Kategorizacija je određena pomoću kalkulatora rizika kojeg je izradio Nacionalni centar za kibernetičku sigurnost
Hrvatska je 2024. godine donijela Zakon o kibernetičkoj sigurnosti (NN 14/2024) - https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html i kasnije tijekom godine Uredbu o kibernetičkoj sigurnosti (NN 135/2024) - https://narodne-novine.nn.hr/clanci/sluzbeni/2024_11_135_2217.html, čime je uskladila nacionalno zakonodavstvo s Direktivom NIS2 Europske unije.
Svrha ovog članka je pružiti konkretne upute za usklađivanje s novim Zakonom i Uredbom o kibernetičkoj sigurnosti.
Zakonom o kibernetičkoj sigurnosti donesene su generalne smjernice za usklađenje i navedeni su sektori koji su obveznici usklađenja s novim Zakonom. Više o tome možete pročitati u članku - https://dpa.hr/nis2-kiberneticka-sigurnost/ .
U ovom članku pozabavit ću se novom Uredbom o kibernetičkoj sigurnosti, koja je na snagu stupila 22. listopada 2024. godine, s obzirom da nova Uredba donosi konkretan popis mjera koje je potrebno poduzeti u svrhu usklađenje. Mjere su navedene u Prilogu II Uredbe o kibernetičkoj sigurnosti, pod nazivom “Mjere upravljanja kibernetičkim sigurnosnim rizicima”, te su razvrstane u 13 poglavlja (ili područja) gdje se navodi što je i kako je potrebno poduzeti.
Prilog II Uredbe o kibernetičkoj sigurnosti navodi trinaest područja po kojima se organizacije koje su obveznice slijeđenja Zakona o kibernetičkoj sigurnosti moraju uskladiti:
Svako područje sadrži popis konkretnih mjera koje je potrebno provesti i koje se nadalje dijele u tri razine; osnovna, srednja i napredna.
Dodatne razine su; uvjetna i dobrovoljna.
Osnovnu razinu moraju slijediti svi subjekti koji su obveznici Zakona o kibernetičkoj sigurnosti, srednju i visoku razinu trebaju slijediti subjekti koji su svrstani u kritičnije subjekte. Uvjetna razina odnosi se samo na specifične djelatnosti, npr. ako organizacija samostalno razvija softver onda mora slijediti i dobre prakse sigurnog razvoja softvera. Dobrovoljna razina, kao što i sam naziv kaže, predstavlja mjere koje su dobrovoljne.
S obzirom na veliku količinu sigurnosnih mjera koje su navedene u Uredbi, za svako od trinaest područja navest ću u kratkim crtama što je potrebno poduzeti. Za detaljan opis koristite Prilog II Uredbe.
Uzmite u obzir da usklađenje predstavlja kompleksnu zadaću koja traži specifična znanja iz uspostave standarda informacijske sigurnosti, te se po kompleksnosti ne razlikuje od pripreme organizacija za ISO/IEC 27001 certifikaciju.
Ako ste već certificirani po ISO/IEC 27001 normi informacijske sigurnosti odmah ćete uočiti kako se navedene sigurnosne mjere poklapaju s vašim standardom, ali ćete isto tako primijetiti da dio sigurnosnih mjera sigurno nemate proveden na način kako se to zahtjeva po Uredbi o kibernetičkoj sigurnosti.
To znači da ćete morati izvršiti prilagodbu postojeće dokumentacije i procesa kako bi izvršili usklađenje. Navest ću samo par primjera takvih prilagodbi.
Primjer 1: Kriteriji za utvrđivanje značajnih incidenata konkretno su propisani Uredbom, pa sada imamo kriterije za utvrđivanje značajnih incidenata poput:
Primjer 2: Pravila za kreiranje lozinki također se navode u Uredbi i propisuje se minimalna kompleksnost lozinke na način:
Kao što se vidi iz navedenih primjera, sama ISO/IEC 27001 certifikacija ne znači da je organizacija ujedno usklađena sa svim zahtjevima iz Uredbe o kibernetičkoj sigurnosti.
Sada ću krenuti s kratkim opisom sigurnosnih mjera iz svakog pojedinog područja.
Cilj je osigurati da osobe odgovorne za kibernetičku sigurnost prepoznaju njezinu važnost i aktivno sudjeluju u upravljanju i poboljšanju sigurnosti unutar subjekta.
Cilj je uspostaviti strukturirani pristup identifikaciji i klasifikaciji programske i sklopovske imovine te osigurati kontrolu i zaštitu te imovine tijekom cijelog njenog životnog ciklusa.
Cilj je uspostaviti odgovarajući organizacijski okvir za upravljanje rizicima koji prijete sigurnosti mrežnih i informacijskih sustava i poslovanju subjekta.
Cilj je uspostava strukturiranog pristupa za učinkovito upravljanje osobljem i pravima pristupa mrežnim i informacijskim sustavima.
Cilj je zaštita mrežnih i informacijskih sustava implementacijom temeljnih sigurnosnih postavki te prevencija incidenata poput malicioznih infekcija, phishinga i upotrebe slabih lozinki.
Cilj je osigurati cjelovitost, povjerljivost i dostupnost mrežnih resursa.
Cilj je uspostaviti sveobuhvatan sustav pravila i procedura za kontrolu pristupa, kako bi se spriječio neovlašteni pristup.
Cilj je razviti jasnu i sveobuhvatnu politiku za izravne dobavljače i pružatelje usluga, posebno u ključnim lancima opskrbe IKT uslugama, kako bi se smanjili rizici i ranjivosti te optimizirao lanac opskrbe.
Cilj je osigurati uspostavljanje, dokumentiranje, provođenje i kontinuirano nadziranje konfiguracije mrežnih i informacijskih sustava, uključujući sigurnosne postavke sklopovske i programske imovine te vanjske usluge i mreže.
Cilj je osigurati uspostavu sveobuhvatne kriptografske politike i postupke za zaštitu podataka u prijenosu i mirovanju primjenom prikladnih kriptografskih tehnika i algoritama.
Cilj je uspostaviti sveobuhvatan okvir za upravljanje incidentima, koji uključuje definiranje uloga, odgovornosti i procedura za učinkovito sprječavanje, otkrivanje, analizu, zaustavljanje, odgovor i oporavak od incidenata.
Cilj je izraditi planove za minimiziranje prekida poslovanja i održavanje kontinuiteta ključnih poslovnih aktivnosti tijekom incidenata i kibernetičkih kriza.
Cilj je nadziranje i sprječavanje neovlaštenog fizičkog pristupa kako bi se zaštitili mrežni i informacijski sustavi od štete i smetnji uzrokovanih fizičkim prijetnjama.
Osim navedenih mjera, Prilog III Uredbe o kibernetičkoj sigurnosti navodi još i posebne mjere fizičke sigurnosti za subjekte iz sektora digitalne infrastrukture koje neću navoditi ovdje.
Osim navedenih sigurnosnih mjera Uredba donosi i niz drugih pravila na koje treba pripaziti, poput:
Usklađenje zahtjeva aktivni angažman svih zaposlenika organizacije (npr. zaposlenici pružaju informacije, implementiraju ili slijede sigurnosne mjere, prijavljuju incidente, pristupaju edukacijama i dr.). Organizacije koje u svom radu koriste usluge vanjskih IT partnera za održavanje svojih sustava, trebaju uzeti u obzir njihov dodatni angažman (npr. implementacija dodatnih tehničkih sigurnosnih mjera, kontinuirani pravilan patch management i configuration management, instalacija i održavanje alata za kriptografiju, dodatno podešavanje i ojačavanje sustava, nadzor sustava i dr.).
Osim prvobitnog usklađenja koje zahtjeva angažman stručnjaka sa relevantnim znanjima i iskustvom u implementaciji međunarodnih normi informacijske sigurnosti, potrebno je osigurati i pravilno kontinuirano održavanje, slično kao što ga provode organizacije koje se certificiraju po ISO/IEC 27001 standardu. To uključuje revizije, praćenje, ažuriranje, bilježenje, slijeđenje, poboljšavanje i educiranje. Za neke zadaće poput periodičnog provođenja samoprocjene potrebno je i dodatno osigurati da ju provodi osoba koja posjeduje certifikat za revizora.
Nadam se da Vam je ovaj članak bio od koristi, da će vam poslužiti u boljem razumijevanju svih zahtjeva nove regulative. Slobodno me kontaktirajte ako imate bilo kakvih dodatnih pitanja ili Vam je potrebna pomoć pri usklađenju.
Trebate usklađenje? Pogledajte našu uslugu usklađenja!
S obzirom na rastuću ovisnost društva o informacijsko-komunikacijskim tehnologijama (IKT), kibernetički incidenti mogu imati dalekosežne posljedice za nacionalnu sigurnost, gospodarstvo i društvo u cjelini. U tom kontekstu, novom se NIS2 direktivom nastoji osigurati visoka razina kibernetičke sigurnosti unutar država članica EU.
NIS2 direktiva (EU) 2022/2555 predstavlja reviziju i proširenje prethodne NIS direktive o sigurnosti mrežnih i informacijskih sustava. Nova direktiva proširuje područje koje se smatra ključnim za društvo i gospodarstvo, uvodi strože zahtjeve za sigurnost i izvještavanje o incidentima te naglašava potrebu za jačanjem nacionalnih kapaciteta za kibernetičku sigurnost i promicanjem suradnje unutar Europske unije.
Novi Zakon o kibernetičkoj sigurnosti (NN 14/2024) na snagu je stupio 7. veljače 2024. godine i usmjeren je na usklađivanje nacionalnog zakonodavstva s NIS2 direktivom. Zakon definira obveze subjekata ključnih usluga i pružatelja digitalnih usluga u pogledu prevencije, detekcije, reagiranja na kibernetičke incidente i izvještavanja o njima. Također, uspostavlja nacionalni sustav za upravljanje kibernetičkom sigurnošću, čime se teži osigurati visoku razinu zaštite za građane, poduzeća i javne institucije.
Popis sektora koji imaju obvezu uskladiti se:
Zakon definira dvije kategorije sektora:
Kriteriji za svrstavanje sektora u određenu kategoriju navedeni su u Prilogu I Zakona o kibernetičkoj sigurnosti.
Zakon također definira dvije kategorije subjekata:
Kritične infrastrukture su sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba ili usluga može imati ozbiljne posljedice na nacionalnu sigurnost, zdravlje i živote ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost i neprekidno funkcioniranje vlasti.
U primjeru javnog sektora to izgleda ovako...
Ključni i važni subjekti dužni su provoditi odgovarajuće i razmjerne mjere upravljanja kibernetičkim sigurnosnim rizicima.
Pritom se pri procjeni proporcionalnosti mjera u obzir uzimaju:
To znači da će veće i značajnije organizacije, kao i organizacije koje obrađuju veliku količinu podataka ili osjetljive podatke, morati provoditi jače mjere informacijske / kibernetičke sigurnosti.
Organizacije koje spadaju pod djelokrug novog Zakona o kibernetičkoj sigurnosti moraju poduzeti niz mjera kako bi se uskladile s njegovim zahtjevima. Ove mjere uključuju, ali nisu ograničene na:
Za neprovođenje odredbi Zakona o kibernetičkoj sigurnosti predviđene su značajne kazne, od upozorenja i novčanih kazni do zabrane obavljanja djelatnosti. Novčane kazne za organizacije kreću se od 2000,00 eura do 7.000.000,00 eura ili u iznosu od 0,2 % do najviše 1,4 % ukupnog godišnjeg prometa dotičnog subjekta na svjetskoj razini ostvarenog u prethodnoj financijskoj godini, ovisno o tome koji je iznos veći. Novčane kazne za odgovorne fizičke osobe u subjektu kreću se od 200,00 do 3000,00 eura.
Važno je napomenuti da se stupanj zaštite (opseg sigurnosnih mjera) može razlikovati ovisno o tipu sektora i veličini entiteta. Detaljnije upute pružit će relevantna nacionalna tijela za kibernetičku sigurnost navedena u Zakonu o kibernetičkoj sigurnosti. Obavijesti o svrstavanju će se najvjerojatnije dostavljati prvom polovicom 2025. godine, dok će krajnji rok za provođenje mjera u tom slučaju biti prva polovica 2026. godine.
Jedan od ključnih koraka usklađenja je identificirati resurse organizacije, a osobito sve ključne resurse bez kojih bi poslovanje bilo otežano ili onemogućeno. Na osnovu toga potrebno je provesti procjenu rizika kibernetičke sigurnosti kako biste identificirali ranjivosti i odredili potrebne mjere zaštite. Usklađivanje s novim Zakonom o kibernetičkoj sigurnosti zahtijeva stručan i sveobuhvatan pristup te kontinuirano vršenje zadaća kako bi se održala usklađenost. Organizacije bi trebale razmotriti angažiranje stručnjaka za informacijsku / kibernetičku sigurnost kako bi usklađenje bilo obavljeno što je brže i stručnije moguće.
Jasno je da novi Zakon o kibernetičkoj sigurnosti donosi brojne izazove za organizacije. Međutim, kibernetička sigurnost je ključna za zaštitu podataka i održavanje kontinuiteta poslovanja . Ovaj pravni okvir zasniva se na sigurnosnim praksama koje su sastavni dio svakog standarda informacijske sigurnosti i imaju potencijal značajno smanjiti rizike od kibernetičkih prijetnji kako bi osigurali nesmetani rad ključnih sektora i digitalnih usluga.